ICS43.040T35團(tuán) 體 標(biāo) 準(zhǔn)T/JSSAE011—2025汽車電子功能安全軟件測(cè)試及評(píng)價(jià)方法Testingandevaluationmethodsforautomotiveelectronicfunctionalsafetysoftware2025-11-19發(fā)布 2025-11-30實(shí)施江蘇省汽車工程學(xué)會(huì)發(fā)布T/JSSAE011T/JSSAE011—2025II目 前言 III1范圍 12規(guī)范性用文件 13術(shù)語和義 14軟件單驗(yàn)證 2模型元驗(yàn)證 2模靜態(tài)分析 2模質(zhì)量度量 34.1.3模走查 34.1.4模審查 34.1.5基需求的試 34.1.6接測(cè)試 44.1.7故注入測(cè)試 44.1.8背背測(cè)試 4資使用評(píng)估 4結(jié)覆蓋率計(jì) 5代碼元驗(yàn)證 5靜代碼分析 5代質(zhì)量度量 54.2.3代走查 54.2.4代審查 64.2.5基需求的試 64.2.6接測(cè)試 6故注入測(cè)試 6資使用評(píng)估 6結(jié)覆蓋率計(jì) 75軟件集驗(yàn)證 7模型成驗(yàn)證 7模靜態(tài)分析 7基需求的試 75.1.3接測(cè)試 75.1.4故注入測(cè)試 75.1.5背背測(cè)試 85.1.6結(jié)覆蓋率計(jì) 8代碼成驗(yàn)證 8集靜態(tài)分析 8基需求的試 85.2.3接測(cè)試 9故注入測(cè)試 9T/JSSAE011T/JSSAE011—2025IIII資使用評(píng)估 9結(jié)覆蓋率試 96嵌入式件測(cè)試 106.1基于求的測(cè)試 106.2故障入測(cè)試 10附錄A（料性）型審查示例 11附錄B（料性）碼審查示例 12附錄C（料性）見的故類型及障注入例 13T/JSSAE011T/JSSAE011—2025IIIIII前 言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第起草。（江蘇）南京）本文件為首次發(fā)布。T/JSSAE011T/JSSAE011—2025PAGEPAGE10汽車電子功能安全軟件測(cè)試及評(píng)價(jià)方法范圍GB/T34590.6-2022GB/T34590.6-2022（改單）GB/T34590.1-2022道路車輛功能安全第1部分：術(shù)語GB/T34590.6-2022道路車輛功能安全第6部分：產(chǎn)品開發(fā)：軟件層面術(shù)語和定義GB/T34590.1-2022界定的以及下列術(shù)語和定義適用于本文件。3.1功能安全件 functionalsafetysoftware按照GB/T34590.6-2022開發(fā)的,ASIL等級(jí)為A至D的軟件。3.2結(jié)構(gòu)覆蓋率 structuralcoverage度量測(cè)試用例執(zhí)行對(duì)程序源代碼內(nèi)部邏輯結(jié)構(gòu)（如語句、分支等）覆蓋程度的指標(biāo)。3.3分支覆蓋率 branchcoverage在測(cè)試中,已執(zhí)行計(jì)算機(jī)程序的控制流分支所占的比率。注1:100%分支覆蓋率意味著100%語句覆蓋率(3.160)，反之則不成立。注2:一個(gè)if語句總有兩個(gè)分支,即條件為true和條件為false,不依賴于else語句是否存在。[來源：GB/T34590.1-2022，3.13，有修改]測(cè)試用例執(zhí)行對(duì)程序源代碼內(nèi)部邏輯結(jié)構(gòu)（如語句、分支等）覆蓋程度的指標(biāo)。3.4語句覆蓋率 statementcoverage[來源：GB/T34590.1-2022，3.160]3.5修改條件/定覆蓋率 modifiedcondition/decisioncoverage;MC/DC在控制流中已執(zhí)行的、可以獨(dú)立影響判定結(jié)果的全部單一條件結(jié)果的百分比。注:MC/DC[來源：GB/T34590.1-2022，3.92]3.6走查 walk-through為了發(fā)現(xiàn)安全異常,對(duì)工作成果的系統(tǒng)性檢查。注1:走查是驗(yàn)證的一種方法，包括代碼走查及模型走查。注2:走查和測(cè)試的區(qū)別在于,走查通常不涉及相關(guān)項(xiàng)或要素的運(yùn)行。注3:被發(fā)現(xiàn)的任何異常通常通過重做來處理,并對(duì)重做的工作成果進(jìn)行走查。示例[來源：GB/T34590.1-2022，3.182，有修改]3.7審查 inspection為發(fā)現(xiàn)安全異常而依據(jù)一個(gè)正式的流程對(duì)工作成果進(jìn)行的考查。注1:檢查是驗(yàn)證的一種方式，包括代碼審查及模型審查。注2:檢查不同于測(cè)試檢查通常不包括對(duì)相關(guān)項(xiàng)或要素的操作。注3:一項(xiàng)正式的檢查流程通常包括預(yù)先定義的步驟、檢查列表、核對(duì)人員及對(duì)結(jié)果的評(píng)審。[來源：GB/T34590.1-2022，3.82，有修改]3.8故障注入faultinjection評(píng)估要素內(nèi)故障影響的方法,該方法通過注入故障、錯(cuò)誤或失效從而通過觀測(cè)點(diǎn)對(duì)注入后的響應(yīng)進(jìn)行觀測(cè)。注:示例1:在運(yùn)行期間注入故障以驗(yàn)證作為探測(cè)潛伏故障策略一部分的某個(gè)安全機(jī)制正在正常工作。示例[來源：GB/T34590.1-2022，3.57]注1：選用的模型靜態(tài)分析工具應(yīng)具備控制流分析、數(shù)據(jù)流分析、形式化驗(yàn)證等能力（參見GB/T34590.6-2022中相關(guān)要求）。2：MathWorksAutomotiveAdvisoryBoard、Matlab-High-Integrity-Modelling-Guideline（）注3：常見的模型運(yùn)行時(shí)錯(cuò)誤有死代碼、數(shù)組越界、整數(shù)或定點(diǎn)數(shù)據(jù)溢出、除數(shù)為零等錯(cuò)誤。完成4.1.1.1測(cè)試后，應(yīng)滿足：(a)運(yùn)行時(shí)錯(cuò)誤的數(shù)量為0；(b)建模規(guī)范符合性缺陷的數(shù)量為0。應(yīng)在模型在環(huán)測(cè)試環(huán)境中，采用模型度量工具對(duì)被測(cè)軟件模型進(jìn)行靜態(tài)掃描，統(tǒng)計(jì)以下指標(biāo)：輸入/注1：企業(yè)可根據(jù)自身的開發(fā)需求對(duì)模型度量指標(biāo)進(jìn)行擴(kuò)充及調(diào)整。完成4.1.2.1測(cè)試后，度量的指標(biāo)應(yīng)符合企業(yè)定義的閾值要求。示例≤500≤35≤2010模型走查注：應(yīng)根據(jù)軟件單元需求提前設(shè)計(jì)模型走查用例，提高模型走查的全面性及效率。完成4.1.3.1測(cè)試后，走查的通過率應(yīng)為100%。模型審查注：模型審查單示例見附錄A，企業(yè)可根據(jù)自身的開發(fā)需求，對(duì)模型審查單進(jìn)行調(diào)整及補(bǔ)充。經(jīng)過4.1.4.1測(cè)試后，審查的通過率應(yīng)為100%。注1：應(yīng)將需求分解至原子需求。注2：一般采用開環(huán)的測(cè)試方法對(duì)軟件模型進(jìn)行測(cè)試。經(jīng)過4.1.5.1測(cè)試后，需求覆蓋率應(yīng)為100%，測(cè)試用例通過率應(yīng)為100%。接口測(cè)試4.1.7經(jīng)過4.1.6.1測(cè)試后，接口覆蓋率應(yīng)為100%，測(cè)試用例通過率應(yīng)為100%。注：常見的故障類型及注入方法示例見附錄B，企業(yè)可根據(jù)自身的開發(fā)需求進(jìn)行調(diào)整及補(bǔ)充。經(jīng)過4.1.7.1測(cè)試后，測(cè)試用例通過率應(yīng)為100%。注率。經(jīng)過4.1.8.1測(cè)試后，測(cè)試用例通過率應(yīng)為100%。1ROMRAM經(jīng)過4.1.9.1測(cè)試后，測(cè)試用例通過率應(yīng)為100%。測(cè)試方法：MC/DC評(píng)價(jià)方法：ASIL、B、C100%；ASILD，MC/DC注1：未被覆蓋的模型部分可通過模型審查的方式進(jìn)行確認(rèn)。測(cè)試方法：1：GB/T34590.6-2022注2：常見的編碼規(guī)范MISRAC、CERT、AUTOSARC++等，企業(yè)可根據(jù)自身的編碼需求對(duì)編碼規(guī)范進(jìn)行自定義。評(píng)價(jià)方法：編碼規(guī)范的違背項(xiàng)數(shù)量應(yīng)為0。測(cè)試方法：注1：企業(yè)可根據(jù)自身的開發(fā)需求對(duì)代碼度量指標(biāo)進(jìn)行擴(kuò)充及調(diào)整。評(píng)價(jià)方法：a) 30%≤≤50%；80；10；5；4測(cè)試方法：評(píng)價(jià)方法：走查通過率為100%。測(cè)試方法：注1：代碼審查單示例見附錄B，企業(yè)可根據(jù)自身的開發(fā)需求，對(duì)代碼審查單進(jìn)行調(diào)整及補(bǔ)充。注2：若有違背項(xiàng)，應(yīng)給出合理的理由并在代碼中的適當(dāng)位置記錄。評(píng)價(jià)方法：審查通過率為100%。測(cè)試方法：注1：應(yīng)將需求分解至原子需求。評(píng)價(jià)方法：需求覆蓋率為100%，測(cè)試通過率為100%。測(cè)試方法：（4.2.7）評(píng)價(jià)方法：接口覆蓋率為100%，測(cè)試通過率為100%。測(cè)試方法：注：常見的故障類型及注入方法示例見附錄C，企業(yè)可根據(jù)自身的開發(fā)需求進(jìn)行調(diào)整及補(bǔ)充。評(píng)價(jià)方法：測(cè)試通過率為100%。測(cè)試方法：ROMRAM評(píng)價(jià)方法：測(cè)試通過率為100%。測(cè)試方法：MC/DC評(píng)價(jià)方法：ASILA100%；ASIL、C100%；ASILDMC/DC100%。按5.1.1的測(cè)試及評(píng)價(jià)方法進(jìn)行驗(yàn)證。測(cè)試方法：注1：可根據(jù)被測(cè)模型的需求，采用開環(huán)或者閉環(huán)的方法對(duì)集成后的模型進(jìn)行測(cè)試。評(píng)價(jià)指標(biāo)：需求覆蓋率應(yīng)為100%，測(cè)試用例的通過率應(yīng)為100%。接口測(cè)試測(cè)試方法：注1：接口測(cè)試應(yīng)包括被測(cè)集成后的軟件模型的輸入接口、輸出接口及集成模塊間的接口。注2：經(jīng)過軟件鑒定的組件模型的內(nèi)部接口可不納入測(cè)試范圍。評(píng)價(jià)指標(biāo)：接口覆蓋率應(yīng)為100%，測(cè)試用例通過率應(yīng)為100%。測(cè)試方法：注1：常見的故障類型及注入方法示例見附錄B，企業(yè)可根據(jù)自身的開發(fā)需求進(jìn)行調(diào)整及補(bǔ)充。評(píng)價(jià)指標(biāo)：測(cè)試用例通過率應(yīng)為100%。背靠背測(cè)試測(cè)試方法：注1：背靠背測(cè)試可結(jié)合模型端動(dòng)態(tài)測(cè)試的測(cè)試用例及模型工具自動(dòng)生成的測(cè)試用例進(jìn)行測(cè)試。注1評(píng)價(jià)指標(biāo)：測(cè)試用例通過率應(yīng)為100%。注1測(cè)試方法：評(píng)價(jià)指標(biāo)：ASIL、B100%；ASIL、D100%測(cè)試方法：應(yīng)對(duì)集成后的代碼進(jìn)行編碼規(guī)范符合性掃描，方法具體見4.2.1。注1：針對(duì)模型生成的代碼及經(jīng)過軟件鑒定的組件代碼可不納入靜態(tài)分析掃描范圍。評(píng)價(jià)方法：編碼規(guī)范違背項(xiàng)應(yīng)為0。注測(cè)試方法：注1：集成驗(yàn)證應(yīng)根據(jù)軟件集成策略分階段進(jìn)行，如BSW組件集成驗(yàn)證、ASW組件集成驗(yàn)證、ASW與BSW集成驗(yàn)證。注2：集成驗(yàn)證測(cè)試環(huán)境有：軟件在環(huán)、處理器在環(huán)及硬件在環(huán)，應(yīng)根據(jù)需求屬性選擇合適的測(cè)試環(huán)境進(jìn)行評(píng)價(jià)方法：

測(cè)試。需求覆蓋率100%，測(cè)試用例通過率100%。測(cè)試方法：ASWASW接口、BSWBSWASWBSW注1：經(jīng)過軟件鑒定的組件，其組件內(nèi)的內(nèi)部接口可不納入集成驗(yàn)證接口測(cè)試范圍。評(píng)價(jià)方法：接口覆蓋率100%，測(cè)試用例通過率100%。測(cè)試方法：注1：常見的故障類型及注入方法示例見附錄B，企業(yè)可根據(jù)自身的開發(fā)需求進(jìn)行調(diào)整及補(bǔ)充。注2評(píng)價(jià)方法：測(cè)試用例通過率100%。測(cè)試方法：CPUROM、RAM測(cè)試用例通過率100%。測(cè)試方法：評(píng)價(jià)方法：ASIL、B100%；ASIL、D100注1：結(jié)構(gòu)覆蓋率數(shù)據(jù)通常由代碼集成測(cè)試工具自動(dòng)生成。測(cè)試方法：注1：嵌入式軟件測(cè)試的目標(biāo)環(huán)境包括：硬件在環(huán)環(huán)境、電子控制單元網(wǎng)絡(luò)環(huán)境及整車環(huán)境。評(píng)價(jià)指標(biāo)：需求覆蓋率為100%、測(cè)試用例的通過率為100%。測(cè)試方法：注1：常見的故障類型及注入方法示例見附錄C，企業(yè)可根據(jù)自身的開發(fā)需求進(jìn)行調(diào)整及補(bǔ)充。評(píng)價(jià)指標(biāo)：測(cè)試用例的通過率為100%。附 錄 A（資料性）用于模型審查的模型審查單示例見表A.1。表A.1 模審查示例序號(hào)模型審查內(nèi)容1模型中的適當(dāng)位置是否記錄了模型版本信息？模型版本是否與待審查的模型版本一致？是否有變更記錄？2模型設(shè)置中的求解器、數(shù)學(xué)和數(shù)據(jù)類型、診斷、硬件實(shí)現(xiàn)、模型引用、代碼生成等配置參數(shù)的設(shè)置是否符合規(guī)范要求？3模型是否可編譯？如果編譯有錯(cuò)誤導(dǎo)致編譯不通過，應(yīng)停止模型審查；如果編譯有警告，宜給出合理的理由并在模型中的適當(dāng)位置記錄。4是否進(jìn)行了模型靜態(tài)分析？靜態(tài)分析時(shí)建模規(guī)范的選擇及抑制是否合理?靜態(tài)分析的報(bào)告是否沒有違背項(xiàng)？若有違背項(xiàng)，應(yīng)給出合理的理由并在模型中的適當(dāng)位置記錄。5是否進(jìn)行了模型質(zhì)量度量？模型度量的指標(biāo)的選擇及度量值是否符合設(shè)計(jì)要求？如果有違背項(xiàng)，宜給出合理的理由并在模型中的適當(dāng)位置記錄。6分配給它的軟件需求是否在軟件模型中已正確地實(shí)現(xiàn)？如果沒有實(shí)現(xiàn)，應(yīng)給出合理的理由。7所有的軟件模型是否都在分配給它的軟件需求中有描述？如果需求中沒有描述，應(yīng)給出合理的理由并在模型中的適當(dāng)位置記錄。8模型的數(shù)據(jù)字典定義及接口的定義是否符合軟件接口設(shè)計(jì)要求？接口的屬性定義是否完整？接口命名是否符合命名規(guī)范？是否有未實(shí)現(xiàn)的接口或者冗余的接口？9模型中是否有合適的模型注釋，模型注釋是否與模型的需求和設(shè)計(jì)一致？T/JSSAE011T/JSSAE011—2025PAGEPAGE12附 錄 B（資料性）用于代碼審查的代碼審查單示例見表B.1。表B.1 代審查示例序號(hào)代碼審查內(nèi)容1代碼中的適當(dāng)位置是否記錄了軟件版本信息？版本是否與待審查的軟件版本一致？是否有變更記錄？2的理由并在代碼中的適當(dāng)位置記錄。3是否進(jìn)行了代碼靜態(tài)分析？靜態(tài)分析時(shí)編碼規(guī)范的選擇及抑制是否合理?靜態(tài)分析的報(bào)告是否沒有違背項(xiàng)？4是否進(jìn)行了代碼質(zhì)量度量？代碼度量的指標(biāo)的選擇及度量值是否符合設(shè)計(jì)要求？5分配給它的軟件需求是否在軟件代碼中已正確地實(shí)現(xiàn)？如果沒有實(shí)現(xiàn)，應(yīng)給出合理的理由。6所有的軟件代碼是否都在分配給它的軟件需求中有描述？如果需求中沒有描述，應(yīng)給出合理的理由并在代碼中的適當(dāng)位置記錄。7代碼接口的定義是否符合軟件接口設(shè)計(jì)要求？接口的屬性定義是否完整？接口命名是否符合命名規(guī)范？是否有未實(shí)現(xiàn)的接口或者冗余的接口？8代碼中是否有合適的注釋，注釋是否與代碼一致？T/JSSAE011T/JSSAE011—2025PAGEPAGE13附 錄 C（資料性）常見的故障類型及故障注入示例常見的故障類型及故障注入示例見表C.1。表C.1 常的故類型及障注入例驗(yàn)證階段故障類型單元驗(yàn)證階段集成驗(yàn)證階段嵌入式軟件驗(yàn)證階段內(nèi)存故障堆棧溢出—設(shè)計(jì)無限遞歸函數(shù)或分配超大局部數(shù)組—非法訪問—訪問未授權(quán)的內(nèi)存地址—緩沖區(qū)溢出—向固定大小的數(shù)組或緩沖區(qū)寫入超量數(shù)據(jù)—內(nèi)存泄漏—手動(dòng)申請(qǐng)內(nèi)存后不釋放—雙重釋放—重復(fù)釋放同一內(nèi)存塊—野指針—訪問已釋放的內(nèi)存空間—內(nèi)存過載—申請(qǐng)分配超過內(nèi)存空間的內(nèi)存—內(nèi)存損壞—修改目標(biāo)內(nèi)存地址的變量值為錯(cuò)誤值—位翻轉(zhuǎn)—修改目標(biāo)內(nèi)存地址的二進(jìn)制位—接口故障接口數(shù)據(jù)格式錯(cuò)誤修改接口傳遞的數(shù)據(jù)類型修改接口傳遞的數(shù)據(jù)類型—接口數(shù)據(jù)長(zhǎng)度錯(cuò)誤修改接口傳遞的數(shù)據(jù)長(zhǎng)度修改接口傳遞的數(shù)據(jù)長(zhǎng)度—接口數(shù)據(jù)值錯(cuò)誤修改接口傳遞的數(shù)據(jù)值修改接口傳遞的數(shù)據(jù)值—接口數(shù)據(jù)缺失刪除接口傳遞的部分?jǐn)?shù)據(jù)刪除接口傳遞的部分?jǐn)?shù)據(jù)—數(shù)據(jù)不一致—修改多個(gè)模塊或組件內(nèi)部的數(shù)據(jù)狀態(tài)為不同值—調(diào)度故障任務(wù)異常掛起—調(diào)用掛起函數(shù)將被測(cè)任務(wù)強(qiáng)制掛起—任務(wù)異常刪除—調(diào)用刪除函數(shù)將被測(cè)任務(wù)強(qiáng)制刪除—死鎖—使兩個(gè)任務(wù)互相持有對(duì)方需要的資源—活鎖——任務(wù)超時(shí)—在任務(wù)中調(diào)用Delay函數(shù)，延長(zhǎng)任務(wù)的運(yùn)行時(shí)間—任務(wù)異常終止—將運(yùn)行中任務(wù)提前終止—頻繁中斷—將中斷信號(hào)發(fā)生器連接到被測(cè)中斷引腳，頻繁產(chǎn)生中斷信號(hào)，使兩個(gè)中斷的間隔時(shí)間小于中斷服務(wù)程序的處理時(shí)間—重復(fù)中斷—在響應(yīng)中斷時(shí)調(diào)用多次中斷服務(wù)程序—中斷丟失—在中斷服務(wù)程序的入口處有選擇性或隨機(jī)地直接返回，使中斷的響應(yīng)次數(shù)比中斷的觸發(fā)次數(shù)少—中斷吊死—禁用中斷使能寄存器，使不